Atribuir funções do Azure AD aos usuários

Para conceder o acesso a usuários no Azure AD (Active Directory), você atribui funções do Azure AD. Uma função é uma coleção de permissões. Este artigo descreve como atribuir funções do Azure AD usando o portal do Azure e o PowerShell.

Pré-requisitos

  • Administrador de funções com privilégios ou Administrador global. Para saber quem é o Administrador de função com privilégios ou Administrador global, consulte Listar atribuições de função do Azure AD
  • Licença P2 do Azure AD Premium ao usar o PIM (Privileged Identity Management)
  • Módulo AzureADPreview ao usar o PowerShell
  • Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph

Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.

Portal do Azure

Siga estas etapas para atribuir funções do Azure AD usando o portal do Azure. Sua experiência será diferente se você já tiver o PIM (Privileged Identity Management) do Azure AD habilitado.

Atribuir uma função

  1. Entre no portal do Azure ou no Centro de administração do Azure AD.

  2. Selecione Azure Active Directory>Funções e administradores para ver a lista de todas as funções disponíveis.

    Roles and administrators page in Azure Active Directory.

  3. Selecione uma função para ver suas atribuições.

    Para ajudar você a encontrar a função necessária, use Adicionar filtros para filtrar as funções.

  4. Selecione Adicionar atribuições e, em seguida, selecione os usuários que você deseja atribuir a essa função.

    Caso você veja algo diferente da imagem a seguir, é possível que o PIM esteja habilitado. Veja a próxima seção.

    Add assignments pane for selected role.

  5. Selecione Adicionar para atribuir a função.

Atribuir uma função usando o PIM

Se você tiver o PIM (Privileged Identity Management) do Azure AD habilitado, terá recursos adicionais de atribuição de função. Por exemplo, é possível tornar um usuário qualificado para uma função ou definir uma duração. Quando o PIM está habilitado, há duas maneiras de atribuir funções usando o portal do Azure. É possível usar a página Funções e administradores ou a experiência do PIM. De qualquer maneira, ele usa o mesmo serviço PIM.

Siga estas etapas para atribuir funções usando a página Funções e administradores. Para atribuir funções usando a página Privileged Identity Management, veja Atribuir funções do Azure AD no Privileged Identity Management.

  1. Entre no portal do Azure ou no Centro de administração do Azure AD.

  2. Selecione Azure Active Directory>Funções e administradores para ver a lista de todas as funções disponíveis.

    Roles and administrators page in Azure Active Directory when PIM enabled.

  3. Selecione uma função para ver as atribuições de função elegíveis, ativas e expiradas relacionadas a ela.

    Para ajudar você a encontrar a função necessária, use Adicionar filtros para filtrar as funções.

  4. Selecione Adicionar atribuições.

  5. Selecione Nenhum membro selecionado e escolha os usuários que receberão essa função.

    Add assignments page and Select a member pane with PIM enabled.

  6. Selecione Avançar.

  7. Na guia Configuração, selecione se você quer tornar essa atribuição de função Qualificada ou Ativa.

    Uma atribuição de função qualificada significa que o usuário deve executar uma ou mais ações para usar a função. Uma atribuição de função ativa significa que o usuário não precisa realizar nenhuma ação para usar a função. Para saber mais sobre o que essas configurações significam, veja Terminologia do PIM.

    Add assignments page and Setting tab with PIM enabled.

  8. Use as opções restantes para definir a duração da atribuição.

  9. Selecione Atribuir para atribuir a função.

PowerShell

Siga estas etapas para atribuir funções do Azure AD usando o PowerShell.

Instalação

  1. Abra uma janela do PowerShell e use Import-Module para importar o módulo do AzureADPreview. Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.

    Import-Module -Name AzureADPreview -Force
    
  2. Em uma janela do PowerShell, use Connect-AzureAD para entrar no locatário.

    Connect-AzureAD
    
  3. Use Get-AzureADUser para obter o usuário ao qual uma função será atribuída.

    $user = Get-AzureADUser -Filter "userPrincipalName eq 'user@contoso.com'"
    

Atribuir uma função

  1. Use Get-AzureADMSRoleDefinition para obter a função que será atribuída.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"
    
  2. Use New-AzureADMSRoleAssignment para atribuir a função.

    $roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinition.Id -PrincipalId $user.objectId
    

Atribuir uma função como qualificada usando o PIM

Se o PIM estiver habilitado, você terá recursos adicionais, como tornar um usuário qualificado para uma atribuição de função ou definir a hora de início e término de uma atribuição de função. Esses recursos usam um conjunto diferente de comandos do PowerShell. Para saber como usar o PowerShell e o PIM, veja PowerShell para funções do Azure AD no Privileged Identity Management.

  1. Use Get-AzureADMSRoleDefinition para obter a função que será atribuída.

    $roleDefinition = Get-AzureADMSRoleDefinition -Filter "displayName eq 'Billing Administrator'"
    
  2. Use Get-AzureADMSPrivilegedResource para obter o recurso privilegiado. Nesse caso, seu locatário.

    $aadTenant = Get-AzureADMSPrivilegedResource -ProviderId aadRoles
    
  3. Use New-Object para criar um novo objeto AzureADMSPrivilegedSchedule para definir a hora de início e término da atribuição de função.

    $schedule = New-Object Microsoft.Open.MSGraph.Model.AzureADMSPrivilegedSchedule
    $schedule.Type = "Once"
    $schedule.StartDateTime = (Get-Date).ToUniversalTime().ToString("yyyy-MM-ddTHH:mm:ss.fffZ")
    $schedule.EndDateTime = "2021-07-25T20:00:00.000Z"
    
  4. Use Open-AzureADMSPrivilegedRoleAssignmentRequest para atribuir a função como qualificada.

    $roleAssignmentEligible = Open-AzureADMSPrivilegedRoleAssignmentRequest -ProviderId 'aadRoles' -ResourceId $aadTenant.Id -RoleDefinitionId $roleDefinition.Id -SubjectId $user.objectId -Type 'AdminAdd' -AssignmentState 'Eligible' -schedule $schedule -reason "Review billing info"
    

API do Microsoft Graph

Siga as instruções abaixo para atribuir uma função usando a API do Microsoft Graph.

Atribuir uma função

Neste exemplo, uma entidade de segurança com objectID f8ca5a85-489a-49a0-b555-0a6d81e56f0d recebe a função Administrador de Faturamento (ID de definição de função b0f54661-2d74-4c50-afa3-1ec803f12efe) no escopo do locatário. Para ver a lista de IDs de modelo de função imutáveis ​​de todas as funções internas, confira Funções internas do Azure AD.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignments
Content-type: application/json

{ 
    "@odata.type": "#microsoft.graph.unifiedRoleAssignment",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "directoryScopeId": "/"
}

Atribuir uma função usando o PIM

Atribuir uma atribuição de função qualificada com limite de tempo

Neste exemplo, uma entidade de segurança com objectID f8ca5a85-489a-49a0-b555-0a6d81e56f0d recebe uma atribuição de função de Administrador de Faturamento qualificada com limite de tempo (ID de definição de função b0f54661-2d74-4c50-afa3-1ec803f12efe) por 180 dias.

POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json

{
    "action": "adminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT180D"
        }
    }
}

Atribuir uma atribuição de função qualificada permanente

No exemplo a seguir, uma entidade de segurança recebe uma atribuição de função de Administrador de Faturamento qualificada e permanente.

POST https://graph.microsoft.com/v1.0/rolemanagement/directory/roleEligibilityScheduleRequests
Content-type: application/json

{
    "action": "adminAssign",
    "justification": "for managing admin tasks",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "scheduleInfo": {
        "startDateTime": "2021-07-15T19:15:08.941Z",
        "expiration": {
            "type": "noExpiration"
        }
    }
}

Ativar uma atribuição de função

Para ativar a atribuição de função, use a API Create roleAssignmentScheduleRequests.

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests
Content-type: application/json

{
    "action": "selfActivate",
    "justification": "activating role assignment for admin privileges",
    "roleDefinitionId": "b0f54661-2d74-4c50-afa3-1ec803f12efe",
    "directoryScopeId": "/",
    "principalId": "f8ca5a85-489a-49a0-b555-0a6d81e56f0d"
}

Para saber mais sobre como gerenciar funções do Azure AD por meio da API PIM no Microsoft Graph, confira a Visão geral do gerenciamento de funções por meio da API PIM .

Próximas etapas